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Abstract of DE 3023427 (A 1) 

Arranged in a plastic housing (11) , which is closed 
on all sides and is prov ided with a metal shielding 
(113), are a main data memory (20) for useful data 
to be protected against unauthorised access, two 
identification devices (40, 70; 30. 60) and a system 
of destruction sensors (941, 942, 961 -965) with 
associated switching stages (90-96). The two 
identification devices control the electrical access to 
the main data memory (20) by permitting a writing or 
reading operation only when a preceding 
identification process, in which identification 
information is fed in from outside, was positive. The 
destruction sensors, which are in particular current 
and pressure sensors laid in the wails of the 
container, respond to violent opening of the 
container housing (11) and initiate via a switching 
stage (90) erasure of the main data memory (20). 
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Patentanspriiche 3023427 

(X) Mobiler Datenbehalter zur gegen unbefugten Zugriff gesicherten 
Speicherung von Nutzdaten mit einem abgeschlossenen Gehause (11), 
in velchem sich ein HauptdaCenspeicher (20) fur die Nutzdaten und eine 
Identifikationseinrichtung (40, 70) befinden, welche ihr von aussen 
zugefiihrte Identif ikationsdaten mit in ihr gespeicherten Identifika- 
tionsdaten vergleicht und je nach Vergleichsergebnis den Zugang zum 
Hauptdatenspeicher (20)' freigibt oder blockiert, und welcher Daten- 
behalter ferner mit Sensormitteln (90-96) ausgestattet ist, die bei 
gewaltsamem oder unbefugtem Oeffnen des Datenbeha Iters einen Teil 
der gespeicherten Daten unbrauchbar machen oder zerstoren, dadurch 
gekennzeichnet, dass die Sensormittel (90-96) die in Hauptdatenspei- 
cher befindlichen Nutzdaten unbrauchbar machen oder loschen. 



2. DatenbehMlter nach Anspruch 1, dadurch gekennzeichnet, dass die 
Sensormittel (90-96) in den Wanden (112, lllTdes mauseir (119 
angeordnete Zerstorungssensoren (941, 942; 962-965) umfassen, welche 
ansprechen, wenn die W'ande durchbrochen werden. 

3. Datenbehalter nach Anspruch 2, dadurch gekennzeichnet, dass 

die Sensormittel (90-96). von Datenbehalter zu Datenbehalter verschieden 
und vorzugsweise zuf allsmassig verteilt angeordnet und gegen Lokali- 
sierung von aussen gesichert sind. 

4. Datenbehalter nach Anspruch 3, dadurch gekennzeichnet, dass die 
Sensormittel in den GehSusewandungen angeordnete Drahtleitungen 
'(941, 942) umfassen. 

5. DatenbehMlter nach Anspruch 4, dadurch gekennzeichnet, dass 
das Gehause (11) aussen eine metallische Abschirmung (113) besitzt. 



6. Datenbehalter nach einem der Ansprviche 1 bis 5, dadurch gekenn- 
zeichnet, dass die Sensormittel einen Druckdetektor (95,951) fur den 
Innendruck (p^ des Gehauses (11)! umfassen. 
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7. Datenbehalter nach den Anspriichen 5 und 6, dadurch gekennzeichnet, 
dass die Gehausevandungen (111, 112) mit eineni Durchbruch (952) ver- 
sehen sind, der bei Entfernung der Abschirmung (113) das Gehause- 
innere mit der Atmosphare verbindet. 

8. DatenbehMlter nach Anspruch 2, dadurch gekennzeichnet, dass die 
Zerstorungssensoren in der Gehausewandung angeordnete Hohlraume 
(962, 963, 964, 965) umfassen, die paarweise unter demselben Druck 
(?l> P 2 ) stehen, wobei jeweils zwei Hohlraumpaare (962, 963; 964, 
965) an zwei Diff erenzdruckdetektoren (967, 968) angeschlossen sind, 
deren Aus gangs si gnale einer Dif f erenzdrucksensorstuf e (96) 
zugefuhrt sind (Fig.. 2). 

9. Datenbehalter nach einem der Anspriicha 2 bis 8, dadurch ge- 
kennzeichnet, dass die Sensormittel eine Relaisstufe (90) umfassen, 
die von den Zerstorungssensoren angesteuert ist und die Unbrauchbar- 
machung der Nut z info mat ion bewirkt. 



10. Datenbehalter nach einem der Anspriiche 1 bis 9, dadurch ge- 
kennzeichnet, dass die Identif ikationseinrichtung (40, 70) nur den Aus- 
lese-Zugriff zum Hauptdatenspeicher (20) kontrolliert . 

* 

LI. Datenbehalter nach einem der Anspriiche 1 bis 10, dadurch gekenn- 
zeichnet, dass er eine zweite Identif ikationseinrichtung (30, -60) 
enthait, die unabhangig von der erstgenannten Identif ikationseinrich- 
tung (40, 70) den Einschreibe-Zugang zum Hauptdatenspeicher (20) 
kontrolliert. 



12. Datenbehalter nach einem der Anspriiche 1 bis 11,. dadurch ge- 
kennzeichnet, dass er eine * Zeitgeberstuf e (50, 51, 53) enthalt, 
die den Zugriff zum Hauptdatenspeicher (20) nur wMhrend eines vorgewShl- 
ten Zeitraums zulasst. 
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13. Datenbehaiter nach einem der Anspriiche 1 bis 12, dadurch gekenn- 
2eichnet, dass er zum losbaren Anschliessen an eine Ladeeinrichtung 
(1000) ausgebildet ist, welche die Nutzdaten vollautomatisch in den 
Hauptdatenspeicher (20) einschreibt. 

mm 

14. Datenbehaiter nach Anspruch 10 und 13, dadurch gekennzeich- 

net, dass die Ladeinrichtung (1000) einen Identif ikationsdatenspeicher 
(1130) , in welchem die fur die zweite Identif ikationseinrichtung 
(30, 60) in Datenbehaiter (1) notigen Identifikationsdaten gespeichert 
sind, sowie Mittel zur automatischen Eingabe dieser Identifikationsdaten 
in die zweite Identif ikationseinrichtung (30, 60) umfasst. 

15. Anwendung des Datenbehalters nach einem der vorangehenden 
Anspriiche. zur Speicherung von. Schlusseldaten bei Chiffriersystemen. 

16. Anwendung des Datenbehalters nach einem der vorangehenden 
Anspriiche zur Speicherung von Schlusseldaten bei Identif ikations — 
systemen. 
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Case 7-12412/GTS 444/+ 



Mobiler Datenbehalter 

Die Erfindung betrifft einen mobilen Datenbehalter zur gegen 

unbefugten Zugriff gesicherten Speicherung von Nutzdaten mit einem 

abgeschlossenen Gehause, in welchem sich ein Hauptdatenspeicher 

fiir die Nutzdaten und eine Identif ikationseinrichtung be- 
finden, welche ihr von aussen zugefiihrte Identif ikationsdaten mit 

in ihr gespeicherten Identif ikationsdaten vergleicht und je nach Ver- 

... « - •• 

gleichsergebnis den Zugang zum Hauptdatenspeicher freigibt oder 

blockiert, and welcher Datenbehalter f erne r mit Sensormitteln 

auagestattet ist, die bei gewaltsamem oder unbefugtem Oeffnen des Da- 

tenbehalters einen Teil der gespeicherten Daten unbrauchbar machen oder 

zerstSren. 

* 

Die sichere Aufbewahrung von Daten aller Art bzw. die Sicherung 
der Daten gegen unbefugten Zugriff gewinnt zunehmend an Bedeutung. 
Bei stationaren Anlagen, wie z.B. in Banken und Tresor- oder Computer- 
raumen, erfolgt die Sicherung gegen unbefugten Daten2ugang hauptslch- 
lich durch Einlagerung der Daten in Raume mit massiven Wanden, Ueber- 
wachung der Ra"ume mitt els verschiedener Alannsysteme und/oder durch 
entsprechendes Personal und durch verschiedene mehr oder weniger komp- 
lizierte Identif izie rung ssyst erne, die den Zugang automatisch nur' dazu 
Befugten gestatten. Diese Massnahmen sind jedoch fiir mobile Datenbe- 
halter, die vielfach moglichst klein und leicht sein sollen bzw. miis- 
sen, im allgemeinen unpraktikabel . 

Fiir viele Anwendungszwecke eines solchen Datenbehalters , insbe- 
sondere beispielsweise im diplomat is chen Nachrichtenverkehr oder als 
Schliisselspeicher fiir Chiffriersysteme, kann eher in Kauf genommen 
werden, dass die gespeicherten Daten geloscht bzw. zerstort werden, 
als dass sie Unbefugten in die Hande gelangen. 



030062/0838 



* 3023427 

Aufgabe der Erfindung ist demnach, einen mobilen Datenbehalter 
zu schaffen, der keinen Zugang zu den in ihm enthaltenen Daten fur Un- 
befugte zulasst. Insbesondere soil dieser Datenbehalter keine massiven 
Wande und dergleichen benStigen, sodass er entsprechend klein und 
leicht ausgebildet sein kann, und keine Ueberwachung durchiirgendwe la- 
ches Personal erfordert. Ferner sollen die iniihm gespeicherten Daten 
zerstort oder unbrauchbar gemacht werden, wenn der Behalter unbefugt 
oder gewaltsam geoffnet wird. 

Diese der Erfindung zugrundeliegende Aufgabe wird erf indungs- 
gemass durch die im Anspruch 1 auf gefiihrten Massnahmen und Merkmale 
gelost . 

In der DE-OS. 2. 224 937 ist ein Identifikat ions system mit Daten- 
tragern beschrieben, auf denen Identif ikationsdaten und. irgendwelche 
anderen, z.B. ein Baiikkonto des Bemitzers betreffende Daten gespeichert. 
sind, wobei. letztere durch die Identifikat ions daten gesichert sind. Die 
Datenspeicher sind durch ein Sensor system gegen korperlichen Zugriff 
geschiitzt, indem dieses System bei einem Zugriff sversuch automatisch 
und zwangslaufig die Identif ikationsdaten loscht. Auf diese Weise wird 
zwar der Datentrager als Identif ikationsmittel unbrauchbar und wert- 
los, die ubrigen gespeicherten Daten bleiben jedoch erhalten und 
konnen daher in unbefugte Hande geraten. Diese bekannten Datentrager 
sind daher zur Losung der* HeriEiHiindung zugrundeliegenden Aufgabe 
ungeeignet. 

— Im folgenden wird die Erfindung anhand der Zeichnung naher er- 
l£utert. Es zeigen: 

Fig. L eine schematische Schnittdarstellung eines erf indungsgemas- 
sen Datenbehalters mit einem Blocks chema der in ihm enthal- 
tenden elektronischen Funktionsgruppen, 

Fig.. 2-4 diverse Details aus Fig. 1 in schematischer Darstellung, 

Fig. 5 eine schematische Schnittdarstellung einer Ladevorrichtung 
zum Einspeichern von Daten in den Behalter , .und 

Fig. 6 eine schematische Darstellung einer mit dem Behalter ausgeruste- 
ten Identif iziereinrichtung. 
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Der in Fig., t als Ganzes mit 1 bezeichnete Datenbehalter um- 
fasst ein Gehau§e 11 mit einem beispielsweise wannenf Srmigen Unterteil 

111 und einem ebenen Deckel 112. Das Gehause besteht aus nicfat leiten- 

■. ■ 

dem Kunststoff und. ist aussen allseits mit einer Metallschicht 113 

* - 

umgeben. 

Im Datenbehalter* 1 befinden sich u.a. ein Hauptdatenspeicher 

- 

20, ein Zentralidentif ikationsdatenspeicher 30 und ein Teilnehmer- 

. - ■ •• - 

identifikationsdatenspeicher 40. Jedem dieser drei Speicher ist eine 
Speichersteuerung 21 bzw. 31 bzw. 41, eine Loscheinrichtung 22 bzw. 
32 bzw. 42 und ein Schreibtor 23 bzw. 3-3 bzw. 43 zugeordnet. Ueber die 
Schreibtore konnen dem Datenbehalter 1 via an seinem Gehause 11 vorge- 
sehene' Steckanschlusse bzw. bzw. Daten zugefiihrt und in die 
Speicher geladen werden. Die Zuordnungen der Daten zu den einzelnen 
Speicherplatzen usw. besorgen dabei die Speicher steuerungen, die ihrer- 
seits liber einen Mehrf ach-Steckanschluss G in der Gehausewand des Be- 
halters die notigen Steuerbefehle , wie etwa Umschalten von Lesen auf 
Schreiben etc. , erhalten.. Die Speichersteuerung en umfassen im wesent- 

* 

lichen einen Adresszahler und einen Adressdekodierer und sind daher 

w 

nicht nSher detailliert. 

Eerner ist im Datenbehalter eine quarzgesteuerte Uhr 50 mit 
einem Untersetzer 51 fiir den Uhrentakt, einer Stellstufe 52 zur Ver- 
stellung bzw. Korrektur. der Uhr 50 und einem mit der Uhr zusammenar- 
beitenden Zeitschalter 53 vorgesehen. Die Stellstufe 52 und der Zeit- 
schalter 53 sind von zwei Steckans chilis sen U bzw. Z an der Behalter- 
wand aus ansteuerbar .. Die Ansteuerung des Zeitschal ters 53 ist durch 
ein in seiner Verbindungsleitung zum Steckanschluss eingeschaltetes 
Tor 54 gesichert. 

Mit den beiden ' Identif ikationsdatenspeichern 30 und 40 arbei- 
ten zwei Vergleichss-tuf en 60 bzw. 70 zusammen. Diese erhalten einer- 
seits Daten aus den beiden Speichern 30 und 40 und anderseits uber 
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einen Zentralenidentif ikationsdatensteckanschluss ZI bzw. iiber ein 
Tor 71 iiber eine in der Gehausewand angeordnete Eingabetastatur 72 
fiir Teilnehmeridentifikationsdaten. Anstatt uber die Tastatur 72 
kann der Vergleichsstufe 70 auch iiber einen Teilnehmerident if ikations- 
datensteckanschluss TI Identifikationsinformation von aussen zugefuhrt 
werden. Dieser kann sowohl anstelle der Tastatur bei der teilnehmer- 
seitigen Identif ikation, aber auch, vie noch beschrieben wird, wahrend 
der Identifikation durch die Ladezentrale benutzt werden. 



Der Teilnehmeridentifikationsdatenspeicher 40 enthalt neben 
noch zu erlauternden Teilnehmeridentif ikationsdaten noch eine fiir den 
Datenbehalter 1 spezifische Information, z.B- eine Lauf hummer . Diese 
Information ist so gespeichert, dass sie iiber einen. weiteren Steckan- * 
schluss L direkt auslesbar ist. 

Die Vergleichsstuf e 70 steuert das Tor 43 und ein Lese-Tor 24 
an, welches den Datenf luss. vom Hauptdatenspeicher 20 zu einem Lese- 
Steckanschluss kontrolliert . Dieses Lese^Tor 24". wird gleichzeitig 
auch" vdnf'Zeftacha-lt ex- 53 angesteue'rt: Efn Alarmausgang der Vergleichs- 
stufe 70, an dem das Vergleichsergebnis signalisiert wird, ist mit 
einem entsprechenden Steckanschluss A^ am Behalter 11 verbunden. 

Die Vergleichsstufe 6Q blockiert bzw. offnet die Schreib-Tore 

23 und 33, das Tor 54 und die Stellstufe 52 fur die Uhr 50. Ferner be- 
sitzt diese Stufe 6Q einen Alarmausgang, der mit einem entsprechenden 
Steckanschluss in der Behalterwand verbunden ist. 

Ferner ist im Datenbehalter noch eine Mischstufe 80 und in 
der Zuleitung vom Speicher 30 zur Mischstufe eine steckbare Briicke 81 
vorgesehen, welch letztere normalerweise of fen ist. Bei einge- 
steckter Briicke . werden die aus dem Hauptdatenspeicher. 20 und dem 
Zentralidentif ikationsdatenspeicher 30 ausgelesenen Daten miteinander 
z.B. Modulo.- 2 vermischt. Das Mischprodukt gelangt iiber das Lese-Tor 

24 an den Leseanschluss L . Bei nicht eingesteckter bzw. offener 
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Brficke 81 konnen die Zentralidentif ikationsdaten nicht zur Misch- . 
stufe 80 gelangen. In diesem Falle gelangen dann die aus dem Haupt- 

datenspeicher 20 ausgelesenen Daten unvermischt an den Lese- 
Anschluss L^. 

Mittels einer weiteren Brucke 82 konnen, wie noch weiter unten 
erlautert wird, im Bedarfsfalle die Ausgange der beiden Vergleichs- 
stufen 60 und 70 zusammengeschaltet werden. 

Ferner befinden sich im Datenbehalter 1 eine Relaisstufe 90, 
die von verschiedenen, noch zu erlauternden Zerstorungs sensor en ange- 
steuert ist, und eine Stromquelle 100 z.B. in Form eines wiederauf lad- 
baren Akkumulators . Die Stromquelle 100 ist mit zwei weiteren Steck- 
ans chlus sen B^ und an der Gehausewand verbunden. 

Die Relaisstufe 90 steuert drei Schaltkontakte 91-93. Im Rune- 

♦ 

zustand der Relaisstufe 90, welcher deren Normalzustand entspricht, 
befinden sich die Schaltkontakte in der gezeigten Stellung. Dabei 
werden fiber die Kontakt e 92 und 93 den. Speichern 20 bis 40 bzw. deren 
zugeordneten Steuerungen 21-41 die Speisespannung von der Stromquelle 
100 und der Systemtakt T vom Un.tersetz.er 51 zugefiihrt. Der Kontakt 9-1 
ist of fen. Bei Aaspreehan* der Relaisstufe 90 werden die Kontakte in 
ihre nicht gezeigte Stellung ubergef iihrt . Dabei sind die Spannungs- 
und die Taktzufuhr fur die Speicher unterbrochen und fiber den Kontakt 
91 wird den den Speichern 20-40 zugeordneten Loscheinrichtungen 22-42 
Speisespannung zugefiihrt. Je nach Art. der Speicher bewirkt die Unter- 
brechung der Speicher speisung untiVbder die Aktivierung der Loschein- 
richtungen die Zerst<5rung bzw. LSschung der gespeicherten Daten: 

. mn — 11 -n !■ ■—— 1 ■ 1 ■■■■ — ■ 

Als Speicher kommen bevorzugt solche mit nichtbewegten 
Speichermedien, wie RAM-Speicher , CCD-Speicher oder Magnetblasenspei- 
cher in Frage, jedoch konnen auch Magnetbandspeicher oder Magnetplatten- 
speicher eingesetzt werden. 

Die Loscheinrichtungen hangen naturlich von der Art der zur 
Anwendung gelangenden Speicher ab. Im Falle von Magnetblasenspeichern 
z.B. konnen die Loscheinrichtungen gemSss Fig. 3 aus einer Spule 221 
bestehen, die ein genfigend starkes Magnetfeld zu erzeugen imstande 
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ist, welches die gespeicherten Daten zerstort. Bei anderen Speichern, 
die ihre Ladung bei Speisespannungsausf all ebenfalls aicht automa- 
tisch verlieren, konnen die Loscheinrichtungen z.B. aus einer kleineren 
Steuerung bestehen, welche in rascher Folge alle Speicherpiatze mit 
der gleichen Information, z.B. mit lauter binaren Nullen ladt. Im 
. Falle von f luchtigen Speichern, die die gespeicherte Information bei 

Taktausfall verlieren, kann natiirlich 
auf die Loscheinrichtungen auch Verzichtet werden. 

Die drei Speicher 20-40 k5nnten selbstverstandlich auch durch 
Bereiche eines e-inzigen grosseren Speichers gebildet sein und z.B. 
auch selbst wieder in mehrere Speicherblocke aufgeteilt sein. Auch 
konnten die drei Speichersteuerungen 21t41 durch eine einzige, entr 
sprechend kompliziertere Steuerung realisiert sein.: Die dargestellte 
Drei-Teilung wurde lediglich aus Griinden der besseren Anschaulichkeit 
gewahlt. 

»*- 

Die Relaisstuf'e 90 wird von. hier z.B. drei Sensorstufen 94-96 
angesteuert, die ihrerseits mit entsprechenden FGhlem bzw. Gebern, 
die im Inneren des Datenbehalters bzw. in dessen Wanden angeordnet 
sind, zusammenarbeiten. 

Die- Sensorstuf e 94 ist ein Stromdetektor. Die zugehorigen Fuh- 
ler sind als dflnne Drahtleitungen 941 und 942 ausgebildet, die in den 
Wanden des Behaiters verlegt sind und iiber Vorwiderstande 943 und 
944 an die Spannungsquelle 100 angeschlossen sind. Der Verlauf der 
Drahtleitungen in den Behalterwanden ist von Behalter zu Behalter 
verschieden und vorzugsweise zufallsmassig gewahlt. An den Uebergangs- 
stellen zwischen dem Behaiterunterteil 111 und dem Deckel 112 sind die 
Leitungen durch Steckverbindungen 945 und 946 verbunden. Falls durch 
eine aussere Einwirkung eine der Leitungen irgendwo unterbrochen wird, 
bringt die Stromsensorstufe 94 die Relaisstufe 90 zum Ansprechen und 
veranlasst dadurch die schon weiter oben geschilderten Vorgange zur 
Datenloschung. 
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Die Sensorstufe 95 wird von einem Druckfuhler 951 angesteuert, 
der auf den.im Datenbehalter 11 herrschenden Innendruck p. reagiert. 
Die Sensorstufe 95 bringt die Relaisstufe 90 zura Ansprechen, wenn der 

« 

Innendruck z.B. infolge gewaltsamen Oeffnens des D at enbehS Iters urn 
einen bestimmten Betrag von einemJSollwert abweicht. 

An irgendeiner Stelle in der Behalterwand, z.B. hier im Boden, 
ist die Kunststoffwand mit einem Durchbruch 952 versehen, der jedoch 
durch die Metal labschrrmung 113 hermetisch abgeschlossen ist. Falls 
die Metallabschirmung aus irgendeinem Grunde entfernt wird, fiihrt 
dies zu einer Druckveranderung im Datenbehalter und damit zum An- 
sprechen der Relaisstufe 90. 

Die Sensorstufe 96 arbeitet mit einer Vielzahl von Differenz- 
druckfuhlera 961 zusammen, von denen in Fig. 1 nur zwei dargestellt 
sind. Diese Differenz druckfuhler 961 erfassen die Drucke in jeweils 
vier an sie angeschlossenen Kanalen 962r965 in den Behalterwandungen. 
Diese Kanale, die jeweils paarweise unter demselben Druck sttehen, ver- 
laufen willktirlich innerhalb der Behalterwand. . 

In Fig. 2 ist ein solcher Dif ferenz druckfuhler 961 naher dar- 
gestellt. Er enthalt im wesent lichen zwei z.B. piezo-elektrische 
Druckaufhehmer 966, die je einen der vier Kanale 962-965 abschliessen, 
und. zwei jeweils an die zwei zu einem Kanalpaar 962-964 bzw. 963-965 
gehorenden Druck aufhehme-r ange sen loss ene Differenzverstarker 967 und 
968, deren Ausgange uber nicht naher bezeichnete Leitungen und Steck- 
verbindungen mit der Sensorstufe 96 verbunden sind. 

Im Kanalpaar 962-964 herrscht jeweils der Druck p^, im Kanal- 
paar 963-965 ein dazu verschiedener' Druck p 2 - Im Normalfall werden 

also die Ausgangssignale beider Differenzverstarker 968 und 967 gleich 
Null sein. 
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Wlrd nun z.B. infolge gewaltsamen Oeffnens des Datenbehaiters 
irgendeiner der Kanale aufgebrochen, so findet Druckausgleich mit der 
Umgebung statt und der oder die Differenzver starker kommen aus dem 
Gleichgewicht . Dies wird dann von der Sensorstufe 96 entsprechend 
ausgewertet und fiihrt schliesslich. zum Ansprechen der Relaisstufe 90. 

Durch die paarweise Anordnung von KanSlen in Verbindung mit 
den Diff erenzverstarkern haben z.B. durch Temperaturschwankungen be-' 
dingte Druckdrif terscheinungen keinen Einf luss auf die Funktion dieser 
Stufe. Durch die Verwendung von jeweils zwei Kanalpaaren unter ver- 
schiedenen Drucken ist es auch ausgeschlossen, den Behalter unbefugt 
in einem Raum zu offnen, in dem derselbe Druck wie in einem der Ka- 
nale- herrscht. 



Die Kan31e konnen als Hohlraume innerhalb der Kunststof fwande 
des Datenbehaiters ausgebildet sein. Genausogut ist es aber auch mog- 
lich, die. Kanale durch Schlauche oder Rohrleitungen zu bilden, die in 
die Behalterwand eingegossen sind. In letzterem "Fall bestehen die 
Schlauche bzw. Rohrleitungen vorzugsweise aus demselben oder einem 
chemisch und physikalisch ahnlichen Material wie die Behalterwand, 
sodass es z.B. nicht* moglich ist, durch chemisches oder physikalisches 
Abtragen Zugang zu den KanSlen. zu erhalten, onrie diese zu zerstoren. 

Die diversen Zerstorungs sensor en (Leitungen, Kanale etc.) sind, 
wie schon gesagt, von Behalter zu Behalter verschieden und vorzugs- 
weise zufallsm2ssig verteilt in den Behalterwand en angeordnet. Dies 
kann z.B. mittels iiber einen Zufallsgenerator gesteuerter Be- 
arbeitungsmaschinen erfolgen. Auf diese Reise ist gewahrleistet, dass 
keine zwei Behalter bezuglich dieser Sensoren gleich ausgebildet 
sind und somit die Sicherheit bezuglich unbefugten Oeffnens wesent- 
lich grosser ist. 
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Die metallische Abschirmung 113 des Datenbeha Iters 1 soil ver- 
hindern, dass Lage und Verteilung der Zerstorungssensoren mittels 
radiographischer Methoden herausgefunden werden konnen. 

Nebst den drei geschilderten Zerstorungssensoren konnen selbst- 
verstandlich auch noch Sensoren anderer Art vorgesehen sein. So ware 
es beispielsweise gemass Fig. 4 ohne weiteres moglich, an einem oder 
an mehreren Stellen in der Behaiterwaad 111 einen Schwingkreis 971 
anzubringen, der mit einer entsprechenden Detektorstuf e 97 zusammen- 
arbeitet. Der Schwingkreis wurde sich bei Annaherung oder z.B. bei 
Entfernung der metallischen Abschirmung 113 verstimmen und dadurch 
(iber die Detektorstuf e 97 die Relaisstufe 90 zum Ansprechen bringen. 

Wie in Fig. 1 durch die strichlierten Linien 921 und 931 ange- 
deutet ist, ware es auch moglich, die Takt- und/bder die Speiselei- 
tungen zu den Speichersteuerungen durch die Behalterwande fuhren, wo- 
durch eine weitere Sicherung erreicht wiirde.. 

In Fig. 5 ist eine zum Laden von Daten in den Datenbehalter 1 
bzw. dessen Speicher besonders geeignete Ladezentra-le 1000 dargestellt. 
Sie umfasst ein massives BehSltnis 1001 mit einem wannenf ormigen Unter- 
teil 1011 und einem Deckel 1012 r Das Gehause ist gegen Zugang durch 
Unbefugte mittels irgendwelcher konventioneller ilassnahmen, die hier 
lediglich durch einen Schlussel 1013 symbolisiert sind, geschutzt. 

Ia Inneren des Behaitnisses 1001 befinden sich im wesentlichen 
ein Datensteuer-Computer 1100 und eine hier nur durch eine strich- 



punktierte. Linie angedeutete Steckverbindung 1101 fur ein oder me hr ere 
DatenbehMlter 1, 1' etc. Ferner sind eine Stromquelle 1200, ein mit 
dem Deckel 1012 zusammenarbeitender Schaltkontakt 1201, eine Oder- 
Stufe 1300, ein akustischer Alarmgeber 1301 und Fur jeden Datenbehal- 
ter ein optischer Alarmgeber 1302 vorgesehen. 
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Der Datensteuer-Computer 1100 ist irgendein herkommlicher 
Computer und enthalt u.a. eine Datenquelle 1110, uber die noch zu 
sprechen ist, und pro anzuschliessenden Datenbehalter 1 einen Zentra- 

m * 

lenidentifikationsdatenspeicher 1130 und einen Teilnehmeridentif ika- 
tionsdatenspeicher 1140. In. diesen beiden Speichern 1130 und 1140 
sind fur samtliche zum System gehorenden Datenbehalter die indivi- 
duellen Zentralen- und Teilnehmeridentif ikationsdaten gespeichert. 

Im folgenden wird die Funktions- und Betriebsweise des Daten- 
behalters 1 und der Ladezentrale 1000 beschrieben. Dabei wird davon 
ausgegangen, dass der Behalter bereits von einem friiheren Ladevorgang 
Daten enthtilt, welche nunmehr ersetzt. werden sollen. 

Der Datenbehalter 1 wird dazu in die Ladezentrale 1000 einge- 
bracht und uber die Steckverbindung 1101 an den Computer 1100 ange- 
_ schlossen. Der Computer 1100 wird erst freigegeben, wenn der Deckel 
1012 der Ladezentrale geschlossen ist, da er, wie hier symbolisch an- 
gedeutet ist, erst dann iiber den Kontakt 1201 mit Speisespannung ver- 
sorgt wird. Auf diese Weise ist gewahrleistet, dass wahrend der Ladung 
der Datenbehalter keine unbefugten Manipulationen vorgenommen werden 
konnen . 

Als erstes liest nun der Datensteuercomputer 1100 iiber den 
* Ausgang L'jedes Behalters 1, *l f etc. "die Laufhummer der betreffenden 
Datenbehalters aus dessen Speicher 40 aus. Anhand dieser Laufnummer 
werden nun aus der Gesamtheit der in den Speichern 1130 und 1140 vor- 
handenen Identif ikationsdaten die dem. jeweiligen Behalter zugeordne- 
ten ausgewahlt und zunachst iiber den Anschluss ZI die Zentralenidenti- 
f ikationsdaten in den Vergleicher 60 des jeweiligen Behalters 1 
transferiert. Dieser vergleicht nun diese Daten mit den im behalter- 
internen Speicher 30 enthaltenen Daten. Das Vergleichsergebnis wird 
uber den Anschluss A^an den Computer gemeldet, wobei im Falle der 
Uebereinstimmung im Datenbehalter die Schreibtore 23 und 33 freigegeben 
werden. Bei Nichtubereinstimmung spricht der akustische Alarm 1301 
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sowie der dem betreffenden Datenbehalter zugeordnete optische Alarm 
1302 an und jede weitere Operation wird unterbunden, was bier durch 
die Tore 1131 angedeutet ist. 

Bei Uebereinstimmung der in der Zentrale und der in Behalter 
gespeicherten Zentralenidentifikationsdaten wird Uber den Anschluss 
S der Speicher 30 im Datenbehalter i und der diesem Behalter zuge- 
ordnete Speicherbereich des Speichers 1130 in der Zentrale mit 
einer neuen, z.B. von einem im Datensteuercomputer enthaltenen Zu- 
fallsgenerator erzeugten, rein zufaUigen Zentralenidentifikations- 
information geladen. 

Als nachstes erfolgt fur jeden Datenbehalter die UeberprUfnng 
der Teilnehmeridentifikationsdaten. Diese werden aus dem durch die 
Behalterlaufnummer definierten Bereich des Speichers 1140 iiber den 
Anschluss TI des Behaiters zu dessen Vergleicherstuf e 70 transferiert 
und dort mit den aus dem behalter internen. Speicher 40 ausgelesenen 
Daten verglichen. Bei Nichtiibereinstiimnung wird in ahnlicher Weise 
vie fur die Zentralenidentifikationsdaten iiber die Ausgange A 2 ein 
Alarm ausgelSst. Bei Uebereinstimmung werden die Tore 43 und 24 im 
Behalter 1 freigegeben und es werden neue, zufallsmassig erzeugte 
Teilnehmeridentifikationsdaten Uber den Anschluss S 3 des Behaiters 1 
in dessen Speicher 40 sowie in den durch die Laufnummer definierten 
Bereich des Speichers 1140 des Datensteuer-Computers 1100 eingelesen. 

Fur einfachere Anwendungsfalle, in denen die Sicherheit nicht 
so hoch sein muss, kann auf die Ueberprufung der Teilnehmeridentifi- 
kationsdaten in der Ladezentrale auch verzichtet werden. In diesem 
Falle nriissten einfach die Verbindungen des Computers zu den AnschlUssen 
S und TI der Behalter unterbrochen werden, was in der Zeichnung durch 
die BrUcken 1102 und 1103 angedeutet ist. 
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Nach diesen vorbereitenden Kontrolloperationen werden die 
Hauptdaten uber den Anschluss S L in den Hauptdatenspeicher 20 jedes 
Datenbehalters geladen. Die Hauptdaten stammen aus der Datenquelle 
1110. Die Datenquelle kann irgendein speicherndes Eingabegerat sein, 
mittels welchem Daten zur Verfiigung gestellt werden konnen. Falls die 
Hauptdaten Geheimschliissel in Zusammenhang mit einem Chiffriersystem 
sind, kann die Datenquelle auch ein Zufal Is generator oder dgl. sein, 
der diese Schlusseldaten automatisch erzeugt. 

Wahrend der diversen Kontroll- und Ladevorgange werden gleich- 
zeitig auch uber die Anschliisse ^ und B,, die Akkumulatoren 100 in den 
Datenbehaltern 1 nachgeladen. 

Nach dem Laden des Hauptdatenspeichers 20 wird, falls erfor- 
derlich, uber den Anschluss U" die Dhr SO im Datenbehalter gestellt 
und eventuell, uber den Anschluss Z, die Zeitgeberstufe 53 gesetzt. 
Durch letzteres kann ein Zeitfenster festgelegt werden, innerhalb von 
welchem die Hauptdaten ausgelesen werden konnen bzw. mussen. 

Damit ist der Ladevorgang in der Ladezentrale beendet und die 
Datenbehalter gelangen nun an den Beniitzer. Dieser kann lediglich die 
Hauptdaten aus dem Speicher 20 uber den Leseanschluss 1^ auslesen. Er 
kann jedoch die Daten in den Speichern oder die Einstellung der Zeit- 
geberstufe 53 nicht verandern, da die entsprechenden EingSnge durch 
die Zentralenidentifikationsdatenvergleichsstufe- 60 blockiert sind. 

Urn sich Zugriff zu den Hauptdaten zu verschaffen, muss der Be- 
niitzer zunachs't die dem betreffenden Datenbehalter zugeordneten Teil- 
nehmeridentifikationsdaten iiber die Tastatur 72 in die Vergleichs- 
stufe 70 eingeben. Diese vergleicht die eingegebenen Daten mit den im 
Speicher 40 gespeicherten Daten und gibt im Uebereinstimmungsfalle 
das Lesetor 24 und damit den Zugriff zum Hauptdatenspeicher 20 frei. 
Sofern auch die Zeitgeberstufe 53 das Lesetor 24 freigibt, d.h., so- 
fern der gewunschte Datenzugriff smoment innerhalb des von der Zeit- 
geberstufe 53 vorgegebenen Zeitfensters liegt, konnen dann die Haupt- 
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daten aus dem Speicher 20 iiber den Anschluss ausgeLesen werden. Die 
dazu notwendige Vorbereitung und Ansteuerung der Speicher erfolgt, wie 
bei alien anderen Operationen, iiber den Steueranschluss G. 

Die Tastatur 72 bzw. die Vergleichsstuf e 70 kann so ausgebil- 
det sein, dass zr.B. bei dreimaliger Eingabe falscher Identif ikations- 
daten jede weitere Eingabe blockiert und ein Alarm ausgelost wird. Auf 
diese Weise wird verhindert, dass die ihm unbekannten Identif ikations- 
daten von einem Unbefugten durch systematisches Ausprobieren herausge- 
funden werden konnen. 

Der elektrische Zugriff z.u den gespeicherten Daten iiber die 
von aussen zugang lichen Steckanschliisse des D at enbeha Iters ist somit 
durch die zentralen— und teilnehmerspezif ischen Identif ikat ions daten 
abgesichert. Der Zugriff durch gewaltsames Oeffnen des Datenbehalters 
wird durch die divers en Zers to rungs sens or en und die rait ihnen zusammen- 
arbeitenden Stufen verhindert. 

Eine weitere Sicherheit gegen unbefugten Datenzugriff bildet 
die Mischstufe 80. Diese vermischt die Hauptdaten rait den Zentralen- 
identif ikationsdaten des Speicher s 30, sodass die am Aus gang ent- 
nehmbaren Daten ein Mischprodukt bilden. Bei Anwendung des Datenbe- 
halters als Schliisselspeicher in Chiffriersystemen kann dann dieses 
Mischprodukt als Chif frierschlussel verwendet werden, sofeni die ja 
ohnehin zuf allsmassig erzeugten und dabei unbekannten Zentralen- 
identifikationsdaten fiir alle beteiligten Schlusselbehaiter gleich 
sind. Unter diesen Voraussetzungen ist es dann z.B. moglich, bei un- 
befugtem Oeffnen des BehMlters nur den Zentralenidentifikationsdaten- 
speicher zu loschen, nicht aber den Hauptdatenspeicher , da die in diesem 
enthaltenen Daten ohne die Zentralenidentif ikationsdaten ohnehin un- 
brauchbar und demnach wertlos sind. 

Fiir besonders wichtige Anwendungen kann es zweckmassig sein, 
die sicher zu speichernden Daten nicht im Klartext, sondern in irgend- 
einer Weise chiffriert oder sonstwie verarbeitet zu speichern. In Fig.l 
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ist daher ein Prozessor 83 strichliert angedeutet, der in die Datenwe- 
ge vom Schreibtor 23 zum Speicher 20 und von diesem zum Mischer 80 ein- 
geschaltet ist und vom Steuereingang G aus angesteuert werden kann. 
Dieser Prozessor chiffriert die zugefuhrten Hauptdaten mit einem 
ihm eigenen Chiffrier pro gramm und dechiffriert die ausgehenden Daten 
wieder. Das Chiffrierpro gramm wird vom Prozessor auf grand einer in 
ihm gespeicherten Senilis selinformat ion erzeugt, welche beim Laden des 
Datenbehalters in den Prozessor geladen wird. Die Vorbereitung des 
Prozessors dazu erfolgt wie bei den Speichern liber den Steueranschluss 
G am Datenbehalter 1. 

Falls die Datenbehalter zur Speicherung von Chiffrierschliisseln 
dienen, miissen naturlich alle zu einem Verbindungsnetz gehorenden 
Schliisselbehalter gleichzeitig geladen werden, und zwar fur jede 
Verbindungsmoglichkeit innerhalb des Netzes jeweils paarweise mit der- 
selben Information. In diesem Falle ist die Ladezentrale zur gleichzei- 
tigen Aufnahmevon mehreren Datenbehalter ausgebildet. Die diversen 
Kontrollen und so weiter erfolgen jedoch fur jeden einzelnen BehaMter 
separat. Die Laufnummern der einzelnen Behalter bestimmen dann die Zu- 
ordnung der einzelnen Schliisseldaten zu den jeweiligen Behaltem. 

Die in Fig. 1 als offen bzw. unterbrochen strichliert angedeu- 
tete Briicke 82 bietet eine weitere Varxationsmoglichkeit des erfindungs- 
gemSssen Datenbehalters. Bei geschlossener bzw. eingesetzter Briicke 
82 kann nach Identifizierung einer befugten Person mittels der Ver- 
gleichsstufe 70 und damit verbundener Freigabe des Schreibtors 23 Uber 
den Schreibanschluss Information in den Datenhaupt speicher 20 einge- 
schrieben und/bder die Uhr 50 uber den Stellanschluss U verstellt wer- 
den. Dies kann fur gewisse Ausnahmesituationen wunschbar und vorteil- 
haft sein, bildet aber nicht den Regelfall. 

Ausser der Absicherung der gespeicherten Daten durch die schon 
beschriebenen Mittel ist es z.B. auch moglich, eine weitere Sicherung 
uber die Ausleserate vorzusehen. Dies ist insbesondere im Zusammen- 
hang mit Chiffriersystemen vorteilhaft. So kann z.B. die Steuerung 21 
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des Hauptdatenspeichers. 20 so ausgelegt sein, dass sie im Takt T 
des vom Untersetzer 51 heruntergeteilten Uhrentaktes und somit 
autonom von der Uhr 50 gesteuert jeweils aur eine bestimmte Anzahl 
von Datenbits aus dem Speicher ausgibt. Das Ganze kann dabei auch 
so organisiert sein", dass die Daten in gewissen, durch die Uhr 50 vor- 
gegebenen Zeitabstanden vollig autonom ausgelesen und vorzugsweise die 
betreffenden Speicherplatze des Hauptdatenspeichers dann sofort nach 
jeder Ausgabe geloscht werden. 

Das Loschen der jeweils ausgelesenen Daten kann auch bei anderen 
Anwendungen erwunscht sein. Vorzugsweise sind daher im Datenbehalter 
Umschaltmittel, z.B. in Form von Steckbriicken oder dgl. vorgesehen, 
mitt els welcher zwischen den Betriebsweisen "Loschen" und "Nicht-Loschen" 
nach dem Auslesen gewahlt werden kann. 

Eine typische Anwendung fiir den erf indungsgetnassen Datenbe- 
halter ist sein Einsatz als Geheimschlasselspeicher in einer Identi- 
fikationseinrichtung. Eine solche Einrichtung ist in Fig. 6 schematisch 
dargestellt . 

Die Einrichtung besteht aus zwed. losbar miteinander mecha-.' 
nisch und elektrisch gekoppelten Teilen, und war einer Prufstation 

2000 und dem DatenbehMlter 1. Die Prufstation befindet sich an dem 
Ort, an welchem die Xdentif ikation vorgenommen werden soil, z.B. em 
Eingang eines Gebaudes oder dgl. Die Prufstation enthalt einen Antrieb 

2001 fiir die zu identif izierenden Kennkarten 2002, zwei Lesekopfe 2003 
und 2004 fur zwei Kartenspuren 2005 und 2006, zwei mit den Lesekopfen 
verbundene Verstarker 2007 und 2008 und zwei Dekodierer 2009 und 2010, 
zwei an die Dekodierer angeschlossene Und-Tore. 2011 und 2012, ein wei-r; 
teres Und.-Tor 2013, einen Alarmgeber 2014, eventuell eine Tastaur 2015 
und eine alle Funk t ions ablMuf e veranlassende bzw. steuernde zentrale 
Steuerung 2016. 
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Der Datenbehalter 1 ist im wesentlichen gleich aufgebaut wie 
der gemass Fig. 1. Es sind daher in Fig. 6 nur die funktionswesent- 
lichen Teile dargestellt. Ausser dem schon beschriebenen Speicher 20 
und dem Chif frierrechner 83 enthalt der Datenbehalter 1 zusatzlich 
noch. eine Vergleichsstufe 84, welche ihr fiber einen Eingang KR zu- 
geffihrte Daten mit vom Chiffrierrechner 83 stammenden Daten verglei- 
chen und iiber einen Ausgang AL ein das Vergleichsergebnis kennzeichnen- 
des Signal abgeben kann. 

Die Kennkarten 2002 tragen auf ihren beiden Lesespuren zwei Informa- 
tionen, und zwar irgendeine Kartennummer und eine Krypto-Inf ormation, 
die bei der Kartenherstellung aus der Kartennummer durch Chiffrieren 
mit einem geheimen Schliissel gebildet wurde. Beim Identif ikationsvor- 
gang werden nun diese beiden Informationen von der Karte abgelesen und 
uber die Und-Tore 2011 und 2012 und uber die Eingange KR und NU dem 
Vergleicher 84 bzw. dem Chiffrierrechnar 83 im Datenbehalter 1 zu- 
gefuhrt. Der Speicher 20 enthalt den bei der Kartenherstellung be- 

M 

nutzten Geheimschlfissel . Mit diesem Geheimschlfissel bildet nun der 
Chiffrierrechner aus der Kartennummer die Kryptoinf ormation. Diese 
gebildete Kryptoinf ormation wird nun mit der abgelesenen verglichen und 
die Uebereinstimmung bzw. Nicht-Uebereinstimmung wird via den Ausgang 
Al von der Alarmeinrichtung 2014 signalisiert . Die Eingabe der Karten- 
nummer kann alternativ auch fiber die Tastatur 2015 erfolgen. 

Bei herkommlichen Identif izierungssystemen, die nach diesem Prinzip 
arbeiten, muss ffir das "Handling" der Geheimschlfissel grosse Sorgfalt 
aufgewandt werden, z.B. muss der Schlfissel mittels Kurier an die ein- 
zelnen Identif izierungsstationen uberbracht und dort gegen unbefugten 
Zugriff gesichert werden. Der Datenbehalter dagegen erfordert keine 
besonderen Sicherungsmassnahmen und kann z.B. ohne weiteres mit der 
Post versandt werden. Aus dem BehSlter ist keine Geheiminf ormation ent- 
nehmbar, sondern-_lediglich das "Gut/Schlecht"-Signal. 
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